名為 SiegedSec 的駭客團隊發布了似乎是Atlassian數千名員工的資料以及該公司兩個辦公室的平面圖

澳洲企業軟體巨擘Atlassian週四(2/17)證實，由於其用來協調辦公室資源的第三方應用程式Envoy遭到駭客入侵，導致其公司員工數據遭外洩， Atlassian直到本週三(2/16)才知悉這起入侵事件，並強調Atlassian 產品和客戶數據無法通過 Envoy 應用程式存取，因此他們的網路和客戶資料是安全的。據了解，該攻擊由名為 SiegedSec 的駭客發動，SiegedSec昨天在其Telegram channel上公開了聲稱從Atlassian哪裡竊取到的數據。SiegedSec發布了Atlassian的員工檔案包含 13,200 多個條目，對該檔案的粗略審查似乎顯示了多名現任員工的數據，包括姓名、電子郵件地址、工作部門和其他資料。SiegedSec同時公開了Atlassian一層舊金山辦公室平面圖和一層澳洲悉尼辦公室的平面圖。

Atlassian 是一家澳洲公司，目前市值約為 460 億美元，它生產用於項目管理和協作的軟體，例如 Trello、Jira 和 Confluence，在全球設有辦事處，2022 年收入為 28 億美元，截至 2022 年 8 月擁有超過 242,000 名客戶並擁有 8,813 名員工。

根據資安媒體The Record的報導，Enovy的發言人發表聲明稱，該公司不知道有任何證據表明他們的系統遭到入侵，並聲稱根據他們的研究表明該事件源於 Atlassian員工的憑證遭外洩有關。Enovy進一步說，我們的初步研究顯示，由於駭客獲得了 Atlassian 員工的有效憑證，從而可以存取 Envoy 應用程式中保存的 Atlassian 員工目錄和辦公室平面圖。Envoy 擁有數十家知名客戶，包括 Slack、Pinterest、金州勇士隊、救世軍、Hulu 和 Lululemon。

資安公司Check Point 的研究人員檢查了SiegedSec公開的檔案，發現了 Atlassian辦公室的兩張樓層地圖以及一個包含接近 14,000 條記錄的 JSON 檔，其中包含Atlassian員工姓名、電話號碼、電子郵件等。Check Point 證實了 Atlassian 的評估，即該SiegedSec“沒有直接入侵 Atlassian”。據 Check Point 稱，SiegedSec 組織自 2022 年 4 月以來一直活躍，SiegedSec去年成為頭條新聞，因為它聲稱竊取了肯塔基州和阿肯色州政府的內部數據，為給予美國政府壓力以回應最高法院推翻 Roe v. Wade案的裁決後的墮胎禁令。2022 年9月底，SiegedSec在其Telegram channel上發布台灣上市網通大廠的相關資料，當中包含該大廠的工具跟設定檔和韌體更新等檔案。

微軟本周二（2/14）的Patch Tuesday安全公告，修補了78個安全漏洞，當中有9個被列為重大（Critical）漏洞，並修補了三個不同的零時差漏洞。

78個安全漏洞的類別和數量如下所:

*12個提權 (Elevation of Privilege)漏洞

*2個安全功能繞過(Security Feature Bypass)漏洞

*38個遠端程式碼執行(Remote Code Execution)漏洞

*8個資料洩露(Information Disclosure)漏洞

*10個阻斷服務攻擊(Denial of Service, DoS)漏洞

*8 個欺騙(Spoofing)漏洞

以上數量不包括本月早些時候修補的三個 Microsoft Edge 漏洞

最嚴重被濫用的漏洞為CVE-2023-21823，這是一個 Windows 圖形組件遠端程式碼執行(RCE)漏洞，成功利用此漏洞的攻擊者可以獲得系統(SYSTEM)權限。微軟還呼籲特別注意CVE-2023-21715，這是 Microsoft Publisher 中的一個功能繞過漏洞；和CVE-2023-23376為Windows 通用日誌檔案系統驅動程式中的特權升級漏洞，該漏洞存在於 Windows 10 和 11 系統以及許多伺服器版本的 Windows 中。這三個零時差漏洞是微軟週二在其月度安全更新中披露一部分。另外該公司將其中 9個漏洞評估為重大嚴重程度，將 66 個漏洞評估為對組織構成重要（Important）威脅。微軟本月披露的近一半漏洞 (38個)是遠端程式碼執行 (RCE) 漏洞，再來是特權提升漏洞，其次是阻斷服務攻擊漏洞和欺騙漏洞。

零時差三重奏

根據趨勢科技 ZDI 的威脅意識主管 Dustin Childs，他說所有受到主動攻擊的漏洞都代表著嚴重的風險，因為攻擊者已經在濫用它們。他進一步說，微軟確實注意到，CVE-2023-23376漏洞將允許攻擊者利用程式碼用作 SYSTEM，這將允許他們完全接管目標。這很可能與遠端式程式碼執行漏洞相關聯，以傳播惡意軟體或勒索軟體。考慮到這是由微軟的威脅情報中心發現的，這可能意味著它已被APT駭客濫用。

另外，CVE-2023-21823 -圖形組件遠端程式碼執行(RCE)漏洞， 由資安公司 Mandiant 的 Dhanesh Kizhakkinan、Genwei Jiang 和 Dhanesh Kizhakkinan 發現。微軟表示，這個遠端程式碼執行漏洞允許攻擊者以 SYSTEM 權限執行命令。然而此安全更新將通過 Microsoft Store 而不是 Windows Update 推送給用戶。因此，對於那些關閉Microsoft Store 中自動更新的用戶，Microsoft 不會自動推送更新，用戶需手動安裝修補程式。

資安公司Automox 建議使用 Microsoft 365 Applications for Enterprise 的組織在 24 小時內修補 CVE-2023-2175，“這個漏洞是一個被積極利用的零時差漏洞，允許攻擊者製作一個檔案來繞過 Office 安全功能，”Automox 在一篇博客文章中說，它允許攻擊者“如果他們可以通過社交工程學脅迫用戶在易受攻擊的設備上下載和打開檔案，則他們有可能在最終用戶設備上執行惡意程式碼。”

新的 Exchange 伺服器威脅

Tenable 的高級研究工程師 Satnam Narang 強調了三個 Microsoft Exchange 伺服器漏洞（CVE-2023-21706、CVE-2023-21707、CVE-2023-21529）作為組織應該注意的問題，因為 Microsoft 已將它們識別為攻擊者可以攻擊的漏洞更有可能被利用。Narang 表示，在過去的幾年裡，世界各地的 Microsoft Exchange 伺服器都受到了多個漏洞的打擊，從 ProxyLogon 到 ProxyShell，再到最近的 ProxyNotShell、OWASSRF 和 TabeShell。近年來，Exchange 伺服器漏洞近年來已成為駭客的寶貴商品，強烈建議依賴Microsoft Exchange 伺服器的組織確保他們已應用Exchange 伺服器的最新更新。

Microsoft PEAP 中的 RCE 漏洞

思科 Talos 威脅情報小組的研究人員指出，微軟受保護的可擴展身份驗證協議 (PEAP) 中的三個 RCE 漏洞是微軟 2023 年 2 月安全更新中最嚴重的漏洞之一。

這些漏洞被跟踪為CVE-2023-21689、CVE-2023-21690和CVE-2023-21692，允許經過身份驗證的攻擊者嘗試在伺服器帳戶的上下文中觸發惡意程式碼。

據 Automox 稱，CVE-2023-21689 是 PEAP 中的三個關鍵漏洞之一，它允許攻擊者獲取伺服器帳戶以通過網路調用觸發惡意程式碼。該公司在其帖子中表示：“由於此漏洞很可能成為攻擊目標，並且攻擊者利用起來相對簡單，我們建議修補或確保 PEAP 未在您的網路策略中配置為允許的 EAP 類型。” Automox 建議，受影響的組織——那些擁有運行網路策略伺服器的 Windows 客戶端並具有允許 PEAP 的策略的組織——應該在 72小時內修補該漏洞。

關於每個漏洞及其影響系統的描述，您可以在此處查看完整報告。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

大約1千艘船使用挪威般級社(DNV)的海事航運軟體ShipManager，因DNV遭到勒索軟體攻擊而受到影響。據悉，ShipManager一種船舶管理、運營和船舶設計的軟體，平台包含的模組可讓客戶深入了解船舶管理數據的技術、運營和合規性方面，包括計劃維護系統 (PMS)、航運採購、船舶安全管理系統 (QHSE)、船員管理系統、船體完整性管理、船舶維修及航運數據分析等。總部位於挪威奧斯陸的 DNV（世界上最大的海事組織之一）表示，它在 1 月 7 日晚上遭到勒索軟體攻擊，被迫關閉與其 ShipManager 系統相連的 IT伺服器。DNV在一份聲明中表示，每天都與受影響的70 名客戶保持著密切聯繫，向他們更新正在進行的鑑識調查的結果，到目前為止共約有 1000 艘船隻受到影響。但DNV進一步說，所有用戶仍然可以使用 ShipManager軟體的onbroad和offline功能，沒有跡象表明 DNV 的任何其他軟體或數據受到影響。為了實施恢復計劃並調查攻擊背後的駭客，並試圖盡快讓 ShipManager恢復，表示正在與挪威警方和第三方 IT公司合作應對這一事件，目前DNV仍沒有公佈勒索軟體名字。

到目前為止，DNV稱只有岸上系統而非船上系統受到網路攻擊的影響，但專家警告說，隨著頻寬的改進使陸上系統與導航和其他船載系統之間的相互依賴性加強，這種情況可能會發生變化。

DNV 是世界上最大的船級社之一，負責管理船舶和海上結構物建造和運營的技術認證，這家挪威公司為 13,175 艘船和行動海上裝置 (mobile offshore units)提供服務，DNV在任何船的整個生命週期內提供解決方案和服務，從設計和工程到風險評估和船舶管理， 2021年收入超過 20 億美元。

對 DNV 的攻擊是影響航運業的最新事件，兩週前，里斯本(Lisbon)港口成為 LockBit 勒索軟體組織的目標。2022年2 月西歐石油港口碼頭遭受BlackCat勒索軟體入侵，至少攻擊了17個港口的石油港口碼頭軟體，改變了油輪的路線並嚴重擾亂了供應鏈。11 月，美國國土安全部長Alejandro Mayorkas告訴國會，美國港口面臨的最大威脅是網路攻擊。

“我們正在提高我們港口運營的技術水平，這就是為什麼不僅海關和邊境保護局關注網路安全，美國海岸警衛隊也是如此，關於我們的港口，我認為網路安全是一個重大威脅，我們當然非常專注於防禦它並加強我們的網路安全。” Mayorkas說。

常見船舶發生網路漏洞的原因：

過時和不受支援的操作系統

未修補的系統軟體

過時或缺乏防毒軟體和惡意軟體的防護

不安全的船上電腦網路

關鍵基礎設施與岸邊持續連接

對第三方（包括承包商和服務提供商）的存取控制不足

網路風險方面培訓不足和/或缺乏技術熟練的員工

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Fortinet 警告稱其產品的 FortiADC 應用程式交付控制器存在嚴重漏洞影響並多個版本，該漏洞編號為CVE-2022-39947，位於FortiADC web接口中，漏洞可導致任意程式碼執行。Fortinet在公告中表示，FortiADC操作系統命令漏洞中使用的特殊元素的不當中和可允許經過身份驗證的攻擊者存取 Web 界面以通過特製的 HTTP 請求執行未經授權的程式碼或命令，此漏洞的CVSS風險評分高達8.6，屬於高度風險。

Fortinet提到該漏洞由其內部產品安全團隊發現，並公布影響以下版本:

FortiADC 版本 7.0.0 到 7.0.1

FortiADC 版本 6.2.0 到 6.2.3

FortiADC 版本 5.4.0 到 5.4.5

FortiADC 所有版本 6.1

FortiADC 所有版本 6.0

官方已發布更新版本:

建議用戶將FortiADC版本6.0, 6.1 , 6.2.0 到 6.2.3升級到6.2.4或7.0.0 到 7.0.1升級到7.0.2以上版本；

另外，也即將推出的FortiADC 5.4.6 或以上版本以應對受影響的5.4.0 到 5.4.5版本

Fortinet在 1 月還發布了FortiTester 中的多個風險命令注入漏洞的修補，這些漏洞被統稱為CVE-2022-35845（CVSS風險評分高達7.6），這些漏洞可允許經過身份驗證的攻擊者在底層 shell 中執行任意命令，攻擊者可利用漏洞要求認證。據 Fortinet 稱，受影響的FortiTester 版本2.xx、3.xx、4.xx、7.x 和7.1.0，已在發布 FortiTester 版本 3.9.2、4.2.1、7.1.1 和 7.2.0時得到解決。

此外，Zoho本周也發布了一份安全公告，呼籲其用戶立即修補影響其三款ManageEngine產品( ManageEngine Password Manager Pro、PAM360 和 Access Manager Plus) 的SQL injection 高風險漏洞，漏洞編號為CVE-2022-47523，可授予攻擊者未經身份驗證的後端資料庫存取權限，並讓他們執行自訂義查詢以獲得對資料庫表中的條目的存取權限。據 Zoho稱，漏洞已通過添加適當的驗證和轉義特殊字符得到解決，強烈建議用戶立即升級到最新版本的 PAM360、Password Manager Pro 和 Access Manager Plus即Password Manager Pro 的12210版本、PAM360 版本 5801 和 Access Manager Plus的 4309 版本。

以上這兩家公司並未提到這些漏洞已遭利用。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”